Op 12 februari 2013 stelde president Barack Obama een ‘executive order’ vast waarin federale autoriteiten verplicht worden de informatiedeling over cybersecurity dreigingen met private bedrijven die kritieke infrastructuur ondersteunen te verbeteren. Belangrijke organisaties worden opgeroepen om op vrijwillige basis informatie over incidenten te delen. Deze ‘executive order’ is vorige week aangenomen door The House of Representatives.

Met het systeem van vrijwillig melden slaat de VS een andere weg in dan de EU. Met de afgelopen februari gepubliceerde Cybersecurity Strategy 2013 en het gedane ‘Voorstel voor een richtlijn betreffende maatregelen die een hoog gemeenschappelijk niveau van netwerk- en informatieveiligheid waarborgen in de EU’, opteert de Europese Unie juist voor een systeem waarbij bedrijven verplicht worden (ernstige) cyber-incidenten te rapporteren aan de autoriteiten.

Het is hierbij de vraag wat de mogelijke gevolgen van deze uiteenlopende maatregelen zullen zijn voor het intercontinentale handelsverkeer. In reactie op eerder gestelde kamervragen meldt Opstelten dat:

“Het gaat om het al dan niet vrijwillig melden van incidenten vanuit de door de VS en de EU gedeelde noodzaak om tot een hoger niveau van netwerk- en informatiebeveiliging te komen. De meeste bedrijven nemen vanuit oogpunt van bedrijfszekerheid ook zelf al de nodige maatregelen. De eigen verantwoordelijkheid wordt door de in de VS en de EU aangekondigde maatregelen expliciet gemaakt.”

“De manier waarop de maatregelen zijn opgesteld verschilt maar lijkt vanwege het beoogde materiële effect geen wezenlijk verschil te maken voor de positie van in de VS gevestigde Nederlandse bedrijven ten opzichte van de in de EU actief zijnde Nederlandse bedrijven. Niettemin zal het kabinet dit punt meenemen in de komende besprekingen van de ontwerprichtlijn van de EU.”

• Antwoorden kamervragen over het vrijwillig melden van cyber security incidenten d.d. 25 april 2013
• EU, US go separate ways on cybersecurity
• Voorstel voor een richtlijn betreffende maatregelen die een hoog gemeenschappelijk niveau van netwerk- en informatieveiligheid waarborgen in de EU
• Cybersecurity Strategy of the European Union: An Open, Safe and Secure Cyberspace

DigiD is sinds dinsdagavond 23 april niet of moeilijk toegankelijk door een zogenoemde DDOS-aanval. Daardoor kan het inloggen op websites van overheidsdiensten problemen opleveren.  Persoonlijke gegevens van DigiD-gebruikers zijn niet gekraakt.

Bij een DDOS-aanval wordt een internetsite bestookt met extreem veel dataverkeer. De beveiliging van de site is dan zo druk met het tegenhouden van dit ongewenste verkeer dat ook de gewone bezoekers er niet of nauwelijks doorheen komen.

Persoonlijke gegevens van gebruikers blijven geheim, want de aanvallers krijgen geen toegang tot het DigiD-systeem. Van een inbraak (“hack”) in het systeem is geen sprake.

Een DDOS aanval is te vergelijken met het ouderwetse belletje-trekken met een luciferhoutje tussen de bel. De bel gaat continu over, maar de deur blijft dicht. Inbrekers blijven gelukkig buiten, gewone bezoekers helaas ook.

Het is nog onbekend wie er achter de aanval zitten. Het Nationaal Cyber Security Centrum is op de hoogte en levert ondersteuning en expertise.

Bron: Rijksoverheid

Hoe kan het dat Nederland een telefoontje uit het buitenland moet krijgen om erachter te komen dat er in Leiden iemand dreigt om zich heen te schieten? Ronald Prins van internetbeveiligingsbedrijf Fox-IT weet het antwoord wel: het is volstrekt onduidelijk wat de Nederlandse politie wel en niet mag op internet. "Volgens het Nederlands strafrecht valt het in de gaten houden van wie wat zegt op sociale media onder 'stelselmatige observatie' en dat mag alleen bij hoge uitzondering." Gevolg: de politie heeft nauwelijks zicht op wat er op internetfora gebeurt.

Lees verder:

• 'Politie heeft nauwelijks zicht op wat er gebeurt op internet', Trouw.nl

De onwetendheid bij bedrijven over de risico’s van internet is ‘zorgwekkend’ en maatschappelijk ‘bedreigend’.

Als definitie van identiteitsfraude wordt gehanteerd: het opzettelijk (en) (wederrechtelijk of zonder toestemming) verkrijgen, toe-eigenen, bezitten of creëren van valse identificatiemiddelen en het daarmee begaan van een wederrechtelijk gedraging, of het verrichten van een dergelijke handeling met de intentie om daarmee een wederrechtelijke gedraging te begaan.

Identiteitsfraude is ook in Nederland niet alleen fictie, maar harde realiteit.

ldentiteitsfraude is op dit moment niet door middel van een afzonderlijk delict in het Wetboek van Strafrecht strafbaar gesteld. Dat betekent echter geenszins dat de daaronder ressorterende vormen van fraude niet adequaat strafrechtelijk kunnen worden aangepakt. Op grond van een aantal meer algemene delictsomschrijvingen, waaronder valsheid in geschrifte (artikel 225 Sr), misbruik van reisdocumenten (artikel 231 Sr) en oplichting (artikel 326 Sr) kan adequaat tegen identiteitsfraude worden opgetreden.

Een verdere aanscherping van het strafrechtelijk instrumentarium is voorzien met het wetsvoorstel ter versterking van de opsporing en vervolging van cybercrime, dat onder meer de heling van gegevens strafbaar beoogt te stellen.

Voorts kent het Wetboek van Strafrecht voor de aanpak van misdrijven waartoe identiteitsfraude vaak de opstap vormt, zoals mensensmokkel, witwassen, bank- of uitkeringsfraude, terrorisme of drugs- en wapengerelateerde misdrijven, specifieke strafbaarstellingen. Deze bepalingen zijn volgens de minister, op enige uitzonderingen na, toereikend om adequaat tegen identiteitsfraude op te treden.

Bij de Tweede Kamer is momenteel aanhangig het voorstel van wet tot wijziging van het Wetboek van Strafrecht en de Wegenverkeerswet 1994 in verband met de verbetering van de aanpak van fraude met identiteitsbewijzen en wijziging van het Wetboek van Strafvordering, de Beginselenwet justitiële jeugdinrichtingen en de Wet DNA-onderzoek bij veroordeelden in verband met verbetering van de regeling van de identiteitsvaststelling van verdachten en veroordeelden.

Indien dat wetsvoorstel zal zijn aanvaard en in werking is getreden, bevat het Wetboek van Strafrecht alle instrumenten om tegen iedere vorm van fraude met identiteitsbewijzen op te treden. Het wetsvoorstel voorziet erin dat de strafbaarstelling van fraude met reisdocumenten die nu in artikel 231 Sr is vervat, wordt uitgebreid tot alle papieren of geplastificeerde identiteitsbewijzen die in artikel 1 van de Wet op de identificatieplicht zijn aangewezen als document waarmee burgers zich in bij wet voorgeschreven gevallen, kunnen legitimeren (bijvoorbeeld het rijbewijs en het vreemdelingendocument). Bovendien worden de identiteitsbewijzen die afgegeven zijn door diensten of organisaties die niet het individuele belang, maar het collectieve belang dienen en van cruciaal belang zijn voor het goed functioneren van de Nederlandse samenleving, zoals de Staten-Generaal, vliegvelden en de politieorganisatie, geheel onder de werking van artikel 231 Sr gebracht.

Tegelijk wordt in artikel 231 Sr meer frauduleuze handelingen met die identiteitsbewijzen strafbaar gesteld, zoals de steeds vaker voorkomende lookalike fraude waarbij iemand het identiteitsbewijs van een ander gebruikt, zonder daaraan wijzigingen aan te brengen. Fraude met de meer in zwang komende biometrische identiteitsbewijzen wordt afzonderlijk strafbaar gesteld in een nieuw artikel 231a Sr. Bij biometrische identiteitsbewijzen gaat het om de biometrische kenmerken en biometrische persoonsgegevens die gebruikt worden om vast te stellen of die persoon degene is die hij aangeeft te zijn. De meest gangbare biometrische identiteitsbewijzen zijn op dit moment de vingertoppen en de daarvan afgeleide vingerafdrukken, alsmede het gezicht en de daarvan afgeleide foto.

Uit het bovenstaande kan worden geconcludeerd dat, als de hiervoor genoemde wetgeving zal zijn aanvaard en in werking is getreden, het Wetboek van Strafrecht bij de tijd is om iedere vorm van identiteitsfraude aan te pakken en dat het opnemen van een afzonderlijke delictsomschrijving juridisch geen toegevoegde waarde heeft, aldus Opstelten.

"Het is van belang dat ieder maatschappelijk ongewenst verschijnsel kan worden aangepakt, maar dat hoeft niet noodzakelijkerwijs zijn vertaling te krijgen in een eigen strafbepaling." In dat verband trekt de minister de vergelijking met de aanpak van eerwraak of loverboys voor de aanpak waarvan het Wetboek van Strafrecht ook naast een strafbepaling over moord of over mensenhandel en verkrachting, geen afzonderlijke strafbepaling kent.

Bron: Kamerbrief d.d. 15 april 2013 "Zelfstandige strafbaarstelling identiteitsfraude"